Hoppa till innehåll på sidan

Behandling av personuppgifter – för forskare 

När du ska inleda ett nytt forskningsprojekt behöver du känna till hur personuppgifter får behandlas inom forskning. Här har vi samlat grundläggande information om begrepp och regler för behandling av personuppgifter inom forskning. Kom ihåg att det alltid är den personuppgiftsansvariga som ansvarar för hur och varför personuppgifter behandlas.

Den personuppgiftsansvariga kan i forskningssammanhang exempelvis vara ett universitet, en regionstyrelse, en kommunal nämnd eller en annan organisation såsom ett aktiebolag. Det är den personuppgiftsansvariga som har ansvaret att informera och instruera dig om hur du ska gå till väga vid behandling av personuppgifter i forskning.

Du kan läsa mer om personuppgiftsansvar nedan.

Med personuppgifter menas varje upplysning som avser en identifierad eller identifierbar fysisk person. Avgörande är om uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person. Här är några exempel på personuppgifter:

  • namn
  • adress
  • personnummer

Även detta kan vara personuppgifter:

  • bilder
  • ljud- och filminspelningar
  • GPS-positioner
  • biometriska uppgifter, exempelvis uppgifter med fysiska eller beteendemässiga kännetecken, fingeravtryck och rörelsemönster.

Även om en viss uppgift inte enskilt kan knytas till en person, kan den vara en personuppgift om den i kombination med andra uppgifter kan knytas till en person. Därmed kan det exempelvis vara fråga om personuppgifter om det finns en kodnyckel som gör att någon kan identifieras.

Personuppgifter

Det kan vara svårt att avgöra om ett forskningsprojekt kommer att innebära att personuppgifter behandlas eller inte. Det är därför viktigt att den som är personuppgiftsansvarig gör noggranna överväganden innan ett forskningsprojekt påbörjas.

Om personuppgifter görs anonyma på ett sådant sätt att ingen direkt eller indirekt kan identifieras, kan det kallas ”anonymisering”. Dataskyddsförordningen (GDPR) som reglerar behandling av personuppgifter reglerar inte behandling av anonyma uppgifter.

Det kan vara mycket svårt att anonymisera uppgifter på ett sätt som gör att de inte längre är personuppgifter.

Anonymiserade uppgifter

Känsliga personuppgifter är uppgifter om:

  • etniskt ursprung
  • politiska åsikter
  • religiös eller filosofisk övertygelse
  • medlemskap i en fackförening
  • hälsa
  • sexualliv eller sexuell läggning
  • genetiska uppgifter
  • biometriska uppgifter som används för att entydigt identifiera en person.

Huvudregeln är att det är förbjudet att behandla känsliga personuppgifter, men det finns undantag i dataskyddsförordningen. Ett sådant undantag är bland annat om behandlingen är nödvändig för forskningsändamål. Det krävs dock att vissa förutsättningar är uppfyllda.

Precis som när det gäller all behandling av personuppgifter bör du som forskare vända dig till den personuppgiftsansvariga om du avser behandla känsliga personuppgifter.

Känsliga personuppgifter

Uppgifter om lagöverträdelser är inte känsliga personuppgifter i dataskyddsförordningens mening men har ett starkt skydd. Personuppgifter om lagöverträdelser är uppgifter om att någon har

  • begått ett brott
  • blivit fälld eller friad i domstol i ett brottmål
  • blivit föremål för så kallade straffprocessuella tvångsmedel, till exempel häktning, reseförbud eller beslag
  • misstänkts för ett konkret brott.

Som huvudregel får bara myndigheter behandla uppgifter om lagöverträdelser, men det finns vissa undantag. Precis som när det gäller all behandling av personuppgifter bör du som forskare vända dig till den personuppgiftsansvariga om du avser behandla personuppgifter om lagöverträdelser.

Personuppgifter som rör lagöverträdelser

Personuppgiftsbehandling är allting som görs när personuppgifter hanteras, till exempel när personuppgifter:

  • samlas in
  • sparas
  • delas/lämnas ut
  • sorteras
  • publiceras
  • lagras
  • raderas

Insamling av personuppgifter kan till exempel ske vid olika typer av enkät- eller intervjuundersökningar eller vid insamling av uppgifter från olika register.

 

Personuppgiftsansvarig

Personuppgiftsansvarig är som huvudregel den som bestämmer för vilka syften (ändamål) personuppgifter får hanteras och hur den hanteringen ska gå till (medel). Personuppgiftsansvarig kan till exempel vara ett aktiebolag, en stiftelse, en förening eller en statlig, regional eller kommunal myndighet.

För forskning vid universitet och högskolor är det oftast universitetet eller högskolan som är personuppgiftsansvarig och inte chefen eller rektorn på en arbetsplats eller en anställd forskare.

Endast i ett fåtal fall är en enskild forskare personuppgiftsansvarig, till exempel om personen bedriver forskning inom ramen för en enskild firma.

All personuppgiftsbehandling måste följa dataskyddsförordningen. Som enskild forskare får du enbart behandla personuppgifter enligt de instruktioner du fått av den personuppgiftsansvariga. Du bör därför alltid vända dig till den personuppgiftsansvariga innan du börjar behandla personuppgifter.

Personuppgiftsansvariga och personuppgiftsbiträden

Dataskyddsombud

Den personuppgiftsansvariga måste i vissa fall utse ett dataskyddsombud. Det gäller bland annat alla offentliga organ, till exempel statliga universitet och högskolor. Dataskyddsombudets roll är att informera om dataskyddsförordningen, ge råd och kontrollera att alla inom organisationen följer den. Därför kan du vända dig till dataskyddsombudet när det uppstår frågor om personuppgiftsbehandling i din forskning.

Dataskyddsombud

Vilka regler gäller och vem gör vad?

Allmänna regler om personuppgiftsbehandling finns i dataskyddsförordningen (GDPR), som kompletteras av bestämmelser i bland annat dataskyddslagen och ett antal registerförfattningar som reglerar hur personuppgifter får hanteras i vissa verksamheter.

IMY är tillsynsmyndighet enligt bland annat dataskyddsförordningen och dataskyddslagen. Vi ska bland annat granska och verkställa tillämpningen av dataskyddsreglerna. Vi kan alltså granska behandling av personuppgifter inom forskning.

Ett exempel på när vi har gjort det är IMY:s tillsynsbeslut om säkerhet och behandling av personuppgifter i samband med forskning. 

Tillsynsbeslut om säkerhet i samband med forskning

Det krävs ett godkännande av Etikprövningsmyndigheten för att få behandla känsliga personuppgifter och personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden vid forskning.

Etikprövningsmyndigheten

Det finns också andra regelverk att förhålla sig till när det gäller viss forskning, exempelvis reglerna om kliniska läkemedelsprövningar.

Tillstånd, godkännande och kontroll hos Läkemedelsverket

 

Webbinarium om personuppgifter i forskning

Den 12 juni 2023 genomförde Etikprövningsmyndigheten ett webbinarium om personuppgifter i forskning, i samarbete med Integritetsskyddsmyndigheten och Överklagandenämnden för etikprövning. Uppsala universitet deltog som representant för en forskningshuvudman.

Syftet var att belysa vilka aspekter som är viktiga att tänka på när personuppgifter behandlas i forskning. Vilka skyddsåtgärder är nödvändiga och vilka regelverk gäller? Vem ansvarar för vad och vad kan göras för att minska riskerna för forskningspersonerna? Vilket stöd kan forskarna behöva för att kunna hantera personuppgifter i enlighet med de krav som gäller? Och vem avgör vad som är en känslig personuppgift?

Webbinariet spelades in och i filmen presenterar företrädare för respektive myndighet vilket uppdrag myndigheten har och vad regelverket innebär. Gemensamt förklaras hur ansvarsfördelningen ser ut.

Ta del av webbinariet: Utbildningsmaterial hos Etikprövningsmyndigheten

 

Senast uppdaterad: 22 februari 2024